Comment des milliers d’extensions Chrome abaissent la sécurité des utilisateurs
Ces modules additionnels suppriment, ni vu ni connu, des entêtes HTTP censés renforcer la sécurité de la navigation Web.
Des chercheurs en sécurité de l’institut CISPA Helmholtz Center ont analysé plus de 186 000 extensions du Chrome Web Store pour voir si elles manipulaient les entêtes de sécurité des connexions HTTP. Ces entêtes permettent à l’éditeur d’un site d’activer certains mécanismes, comme le protocole HSTS (HTTP Strict Transport Security), les règles relatives aux contenus (Content Security Policy), au rendu (X-Frame-Options) ou au type de données (X-Content-Type-Options).
Résultat : parmi toutes les extensions analysées, 2 485 suppriment au moins l’un de ces quatre entêtes. Parmi elles, 553 suppriment les quatre entêtes en même temps. L’entête le moins aimé est CSP, qui est supprimé le plus souvent.
Cette façon de faire n’est pas nécessairement malveillante. D’après les chercheurs, les développeurs de ces extensions suppriment ces entêtes par facilité et confort, pour ajouter certaines fonctionnalités à leur logiciel. Mais c’est évidemment une démarche à courte vue, car elle fait augmenter le risque de piratage pour l’utilisateur final.
Pour plus d’information : https://www.01net.com/actualites/comment-des-milliers-d-extensions-chrome-abaissent-la-securite-des-utilisateurs-2043333.html
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram